Тридцать процентов всех утечек данных в 2025 году связаны с третьими сторонами. Не с хакерами, которые ломают периметр в лоб, а с доверенными поставщиками, SaaS-приложениями, подключенными через API субподрядчиками. Такие цифры приводит свежий отчёт Verizon Data Breach Investigations Report за 2025 год. А по данным IBM (Cost of a Data Breach Report, тоже 2025), средняя стоимость устранения последствий одной такой утечки составляет 4,91 миллиона долларов. Эти суммы уже невозможно списать на статистическую погрешность.
Ещё несколько лет назад безопасность строилась вокруг понятного периметра: файрвол, защита конечных точек, управление доступом. Данные клиента лежали внутри контура, и этого хватало. Сейчас от того контура мало что осталось. Финансовый отдел самостоятельно подключает какой-нибудь облачный сервис для аналитики, HR внедряет платформу для рекрутинга, маркетинг интегрирует очередной инструмент, и никто не ставит в известность IT-команду. Каждый такой сервис это точка входа, и её безопасность зависит от вендора, над которым у компании нет контроля.
Проблема ещё и в цепочках. Ваш поставщик использует своих подрядчиков, те — своих. Клиентские данные путешествуют по экосистеме, о масштабах которой сам клиент зачастую не подозревает. Ответственность при этом не исчезает: регуляторы спрашивают с той организации, которой данные были доверены изначально.
Регуляторное давление нарастает с нескольких сторон одновременно. CMMC (модель зрелости кибербезопасности для подрядчиков Минобороны США), европейская директива NIS2 и регламент DORA (он касается финансовой устойчивости в цифровом пространстве) — все эти рамки требуют не разовой проверки поставщиков, а непрерывного, документально подтверждённого контроля. Скриншот аудита двенадцатимесячной давности больше никого не устраивает. Нужен живой процесс.
Параллельно на компании давят киберстраховщики и советы директоров. Управление рисками от третьих сторон (Third-Party Risk Management, TPRM) всё чаще приравнивают к таким базовым функциям, как реагирование на инциденты. Это уже не бумажная формальность для комплаенса, а вопрос корпоративного управления.
И вот тут возникает узкое место. Традиционный подход к оценке вендоров — это ручная работа: составить опросник, отправить поставщику, дождаться ответов, проанализировать их в привязке к конкретным обязательствам конкретного клиента. Этим, как правило, занимаются старшие консультанты, чьё время стоит дорого. Масштабировать такой процесс на десятки клиентов с сотнями поставщиков у каждого попросту невозможно. Поэтому большинство сервис-провайдеров предлагают TPRM как разовый проект, а не как регулярную услугу.
Между тем рынок TPRM растёт стремительно. Глобальные расходы на управление рисками от третьих сторон оцениваются в 8,3 миллиарда долларов в 2024 году, а к 2030-му прогнозируется рост до 18,7 миллиарда. Для MSP и MSSP (провайдеров управляемых и управляемых безопасностью сервисов) это огромная возможность, которую пока мало кто монетизирует по-настоящему.
Компания Cynomi выпустила руководство «Securing the Modern Perimeter: The Rise of Third-Party Risk Management», где описывает, как превратить TPRM из штучной консалтинговой работы в масштабируемый управляемый сервис с повторяемой выручкой. Ключевая идея: нужны структурированные процессы и технологическая платформа, которая автоматизирует рутину — рассылку, отслеживание и интерпретацию анкет поставщиков.
Для сервис-провайдеров выгода не ограничивается прямым доходом от TPRM. Тот, кто встраивается в процессы управления рисками клиента, получает совершенно другой уровень отношений. Это уже не подрядчик, которого можно заменить на более дешёвого конкурента, а стратегический партнёр. Растут ретейнеры, расширяется спектр консультационных услуг, а в глазах потенциальных клиентов такой провайдер выглядит зрелым и заслуживающим доверия. На перенасыщенном рынке это серьёзное конкурентное отличие.
Экосистемы продолжат усложняться — SaaS-инструменты плодятся, AI-сервисы добавляют новые слои интеграций. Количество третьих сторон, с которыми взаимодействует средняя компания, будет только расти. А значит, риски от подрядчиков никуда не денутся и будут требовать всё более системного подхода. Те провайдеры, которые научатся управлять этим процессом на потоке, займут нишу, из которой их будет крайне сложно вытеснить.
Изображение носит иллюстративный характер
Ещё несколько лет назад безопасность строилась вокруг понятного периметра: файрвол, защита конечных точек, управление доступом. Данные клиента лежали внутри контура, и этого хватало. Сейчас от того контура мало что осталось. Финансовый отдел самостоятельно подключает какой-нибудь облачный сервис для аналитики, HR внедряет платформу для рекрутинга, маркетинг интегрирует очередной инструмент, и никто не ставит в известность IT-команду. Каждый такой сервис это точка входа, и её безопасность зависит от вендора, над которым у компании нет контроля.
Проблема ещё и в цепочках. Ваш поставщик использует своих подрядчиков, те — своих. Клиентские данные путешествуют по экосистеме, о масштабах которой сам клиент зачастую не подозревает. Ответственность при этом не исчезает: регуляторы спрашивают с той организации, которой данные были доверены изначально.
Регуляторное давление нарастает с нескольких сторон одновременно. CMMC (модель зрелости кибербезопасности для подрядчиков Минобороны США), европейская директива NIS2 и регламент DORA (он касается финансовой устойчивости в цифровом пространстве) — все эти рамки требуют не разовой проверки поставщиков, а непрерывного, документально подтверждённого контроля. Скриншот аудита двенадцатимесячной давности больше никого не устраивает. Нужен живой процесс.
Параллельно на компании давят киберстраховщики и советы директоров. Управление рисками от третьих сторон (Third-Party Risk Management, TPRM) всё чаще приравнивают к таким базовым функциям, как реагирование на инциденты. Это уже не бумажная формальность для комплаенса, а вопрос корпоративного управления.
И вот тут возникает узкое место. Традиционный подход к оценке вендоров — это ручная работа: составить опросник, отправить поставщику, дождаться ответов, проанализировать их в привязке к конкретным обязательствам конкретного клиента. Этим, как правило, занимаются старшие консультанты, чьё время стоит дорого. Масштабировать такой процесс на десятки клиентов с сотнями поставщиков у каждого попросту невозможно. Поэтому большинство сервис-провайдеров предлагают TPRM как разовый проект, а не как регулярную услугу.
Между тем рынок TPRM растёт стремительно. Глобальные расходы на управление рисками от третьих сторон оцениваются в 8,3 миллиарда долларов в 2024 году, а к 2030-му прогнозируется рост до 18,7 миллиарда. Для MSP и MSSP (провайдеров управляемых и управляемых безопасностью сервисов) это огромная возможность, которую пока мало кто монетизирует по-настоящему.
Компания Cynomi выпустила руководство «Securing the Modern Perimeter: The Rise of Third-Party Risk Management», где описывает, как превратить TPRM из штучной консалтинговой работы в масштабируемый управляемый сервис с повторяемой выручкой. Ключевая идея: нужны структурированные процессы и технологическая платформа, которая автоматизирует рутину — рассылку, отслеживание и интерпретацию анкет поставщиков.
Для сервис-провайдеров выгода не ограничивается прямым доходом от TPRM. Тот, кто встраивается в процессы управления рисками клиента, получает совершенно другой уровень отношений. Это уже не подрядчик, которого можно заменить на более дешёвого конкурента, а стратегический партнёр. Растут ретейнеры, расширяется спектр консультационных услуг, а в глазах потенциальных клиентов такой провайдер выглядит зрелым и заслуживающим доверия. На перенасыщенном рынке это серьёзное конкурентное отличие.
Экосистемы продолжат усложняться — SaaS-инструменты плодятся, AI-сервисы добавляют новые слои интеграций. Количество третьих сторон, с которыми взаимодействует средняя компания, будет только расти. А значит, риски от подрядчиков никуда не денутся и будут требовать всё более системного подхода. Те провайдеры, которые научатся управлять этим процессом на потоке, займут нишу, из которой их будет крайне сложно вытеснить.
